畢業(yè)設(shè)計(jì)(論文)-vpn技術(shù)在企業(yè)網(wǎng)絡(luò)中的應(yīng)用

1、<p>　　VPN技術(shù)在企業(yè)網(wǎng)絡(luò)中的應(yīng)用</p><p>　　【摘 要】VPN就是利用公網(wǎng)鏈路架設(shè)私有網(wǎng)絡(luò),實(shí)質(zhì)上就是利用加密技術(shù)在公網(wǎng)上建立一個(gè)數(shù)據(jù)通訊隧道，這樣就實(shí)現(xiàn)了不用搭建專線就可以實(shí)現(xiàn)遠(yuǎn)程訪問的目的，大大節(jié)省了企業(yè)的開支。有了VPN技術(shù)，用戶只要能上互聯(lián)網(wǎng)就可以利用VPN非常方便地訪問相應(yīng)的內(nèi)網(wǎng)資源，同時(shí)為了保證傳輸數(shù)據(jù)的安全，VPN服務(wù)器和客戶機(jī)之間的通訊數(shù)據(jù)都采取了加密處理，這使得數(shù)據(jù)的安

2、全性和穩(wěn)定性得到一定的保證，所以VPN在企業(yè)中應(yīng)用得相當(dāng)廣泛。通過對(duì)本課題的研究，基本上實(shí)現(xiàn)了本課題預(yù)期所要達(dá)到的要求，當(dāng)然本課題只對(duì)VPN網(wǎng)設(shè)計(jì)及應(yīng)用進(jìn)行一些簡單的研究，相對(duì)于實(shí)際中的企業(yè)VPN的組建來說，其功能是遠(yuǎn)遠(yuǎn)不夠的。但是，通過這個(gè)課題的研究可以使我們對(duì)企業(yè)網(wǎng)的VPN組建有了一定的了解，對(duì)于以后在實(shí)際中進(jìn)行VPN的組建將起到一定的作用。</p><p>　　【關(guān)鍵詞】 虛擬專用網(wǎng);MPLS VPN ;

3、IPSEC VPN;VPN;模擬器dynamic </p><p><b>　　目錄</b></p><p><b>　　1.概述1</b></p><p>　　2.VPN技術(shù)體系介紹1</p><p>　　2.1 VPN主要的優(yōu)點(diǎn)1</p><p>　　2.1.1保證

4、數(shù)據(jù)的安全性1</p><p>　　2.1.2簡化了網(wǎng)絡(luò)設(shè)計(jì)1</p><p>　　2.1.3大大降低成本1</p><p>　　2.1.4擴(kuò)展十分便利1</p><p>　　2.1.5易于建立商業(yè)伙伴1</p><p>　　2.1.6完全控制主動(dòng)權(quán)2</p><p>　　2.1.7

5、支持新興應(yīng)用2</p><p>　　2.2 VPN技術(shù)目前存在的問題2</p><p>　　2.2.1安全問題2</p><p>　　2.2.2服務(wù)質(zhì)量問題2</p><p>　　2.2.3實(shí)施困難2</p><p>　　2.3 VPN技術(shù)分類2</p><p>　　2.3.1 按接

6、入方式劃分2</p><p>　　2.3.2 按協(xié)議實(shí)現(xiàn)類型劃分2</p><p>　　2.3.3 按VPN的服務(wù)類型劃分3</p><p>　　2.3.4 按VPN業(yè)務(wù)層次模型劃分3</p><p>　　3.組網(wǎng)需求分析3</p><p>　　3.1 網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)原則3</p><p&

7、gt;<b>　　3.2 現(xiàn)狀3</b></p><p>　　3.3 采用VPN的理由4</p><p>　　4 MPLS VPN原理4</p><p>　　4.1 MPLS VPN體系基本架構(gòu)4</p><p>　　4.1.1 CE路由器架構(gòu)4</p><p>　　4.1.2 PE路

8、由器架構(gòu)5</p><p>　　4.2 MPLS VPN 路由傳送的原理5</p><p>　　5.Ipsec VPN6</p><p>　　5.1 Ipsec VPN技術(shù)6</p><p>　　5.1.1 Ipsec的功能特性6</p><p>　　5.1.2 Ipsec協(xié)議6</p>&l

9、t;p>　　5.1.3 IPSEC模式6</p><p>　　5.1.4 對(duì)等體驗(yàn)證7</p><p>　　5.2 IKE（Internet 密鑰交換）8</p><p>　　5.3 加密算法8</p><p>　　5.3.1 同步加密8</p><p>　　5.3.2 異步加密算法8</p&g

10、t;<p>　　6. 企業(yè)VPN網(wǎng)絡(luò)構(gòu)建的分析與實(shí)現(xiàn)8</p><p>　　6.1 方案應(yīng)用領(lǐng)域8</p><p>　　6.2 組網(wǎng)需求分析8</p><p>　　6.3 組網(wǎng)方案規(guī)劃9</p><p>　　6.3.1 租用專線與使用VPN成本對(duì)比9</p><p>　　6.3.2VPN組網(wǎng)方案

11、設(shè)計(jì)9</p><p>　　6.4 組網(wǎng)設(shè)備選型及實(shí)驗(yàn)地址規(guī)劃9</p><p>　　6.5企業(yè)VPN網(wǎng)絡(luò)構(gòu)建總體設(shè)備拓?fù)鋱D10</p><p>　　6.6模擬器用模擬實(shí)驗(yàn)圖10</p><p>　　6.7網(wǎng)絡(luò)設(shè)備配置10</p><p>　　6.7.1用模擬器搭建拓?fù)?0</p><p

12、>　　6.7.2使用SecureCRT軟件進(jìn)行配置13</p><p>　　6.8實(shí)驗(yàn)基礎(chǔ)配置13</p><p>　　6.9 MPLS VPN的配置17</p><p>　　6.9.1 配置CE路由器17</p><p>　　6.9.2 配置PE路由器17</p><p>　　6.9.3 P路由器的配

13、置。20</p><p>　　第一步：配置用作LDP路由器ID的環(huán)回接口。20</p><p>　　6.10Ipsec VPN的配置22</p><p><b>　　7論文總結(jié)25</b></p><p><b>　　致 謝25</b></p><p><b&

14、gt;　　1.概述</b></p><p>　　虛擬專用網(wǎng)絡(luò)（Virtual Private Network ，簡稱VPN)指的是在公網(wǎng)上建立專用網(wǎng)絡(luò)的技術(shù)。VPN服務(wù)在近幾年發(fā)展十分迅速。Internet是當(dāng)今世界上最大的、使用范圍最廣泛的網(wǎng)絡(luò)，它采用業(yè)內(nèi)比較流行的通信機(jī)制；此外，Internet的迅速發(fā)展為VPN服務(wù)提供了堅(jiān)實(shí)的技術(shù)基礎(chǔ)，同時(shí)企業(yè)的全球化為VPN的發(fā)展提供了市場。因此，業(yè)內(nèi)人士認(rèn)為

15、基于IP的VPN服務(wù)有著巨大的前景，目前世界上使用最多的VPN也是基于IP的VPN。</p><p>　　VPN，為什么稱為虛擬網(wǎng)呢？這是因?yàn)檎麄€(gè)VPN網(wǎng)絡(luò)的任意兩個(gè)節(jié)點(diǎn)之間的連接并不需要建立傳統(tǒng)專用網(wǎng)所需的端到端的物理鏈路，而是采用架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺(tái)，如Internet、ATM(異步傳輸模式)、Frame Relay （幀中繼）等之上的邏輯網(wǎng)絡(luò)，用戶數(shù)據(jù)是在邏輯鏈路中傳輸。它涵蓋了跨共享網(wǎng)絡(luò)或

16、者公共網(wǎng)絡(luò)的封裝、加密和身份驗(yàn)證鏈接的專網(wǎng)的擴(kuò)展。VPN主要采用的技術(shù)有隧道技術(shù)、密鑰管理技術(shù)、加解密技術(shù)和使用者與設(shè)備身份認(rèn)證技術(shù)。</p><p>　　VPN技術(shù)在一般的路由器上可以實(shí)現(xiàn)，目前在防火墻、交換機(jī)、windows等軟件中也都支持VPN功能，所以現(xiàn)在VPN在企業(yè)中應(yīng)用十分廣泛。而對(duì)于企業(yè)來說，使用VPN不僅可以保證內(nèi)部數(shù)據(jù)、網(wǎng)絡(luò)的安全，并且相對(duì)于申請(qǐng)搭建專線來說VPN可以節(jié)省相當(dāng)大的費(fèi)用，其對(duì)于一個(gè)

17、企業(yè)的作用是十分巨大的。</p><p>　　2.VPN技術(shù)體系介紹</p><p>　　2.1 VPN主要的優(yōu)點(diǎn)</p><p>　　2.1.1保證數(shù)據(jù)的安全性</p><p>　　VPN以多種方式增強(qiáng)了數(shù)據(jù)的安全性和完整性。具備高強(qiáng)度的安全性，對(duì)于現(xiàn)在的網(wǎng)絡(luò)來說是極其重要的?，F(xiàn)在的一些熱門服務(wù)如網(wǎng)上銀行，網(wǎng)上交易這些都需要絕對(duì)的安全。&l

18、t;/p><p>　　2.1.2簡化了網(wǎng)絡(luò)設(shè)計(jì)</p><p>　　網(wǎng)管們可以使用VPN替代那些昂貴的租用線路來實(shí)現(xiàn)屬下各個(gè)分支機(jī)構(gòu)的連接。這樣就可以將對(duì)遠(yuǎn)程控制鏈路進(jìn)行安裝、配置和管理這些任務(wù)減少到最低，僅此一點(diǎn)就極大地簡化企業(yè)廣域網(wǎng)的設(shè)計(jì)。再者，VPN通過撥號(hào)訪問來自于 ISP或 NSP的外部服務(wù)，減少了所需的調(diào)制解調(diào)器池，同時(shí)簡化了與遠(yuǎn)程用戶認(rèn)證、授權(quán)和記賬相關(guān)的設(shè)備。</p>

19、;<p>　　2.1.3大大降低成本</p><p>　　VPN作為一種降低成本的技術(shù)，其效果是立即且顯著的，主要體現(xiàn)在以下幾個(gè)方面：</p><p>　　（1）移動(dòng)用戶長途通信成本費(fèi)。</p><p>　?。?）對(duì)國際電路成本節(jié)約是極為顯著的?？尚杳織l鏈接 40%到 60%的成本對(duì)租用線路就可以進(jìn)行控制和管理。</p><p>

20、;　?。?）主要設(shè)備成本：VPN支持通過撥號(hào)訪問外部資源,使企業(yè)減少不斷增長的調(diào)制解調(diào)器費(fèi)用。另外，可以用單一的 WAN接口實(shí)現(xiàn)多種服務(wù)，從分支網(wǎng)絡(luò)互連、商業(yè)伙伴的外連網(wǎng)終端，本地提供高帶寬的線路等連接到撥號(hào)訪問服務(wù)提供者。</p><p>　　2.1.4擴(kuò)展十分便利</p><p>　　一個(gè)企業(yè)想要擴(kuò)大原有的VPN的容量和覆蓋的范圍，只要與新的運(yùn)營商簽約建立新的賬戶，就可以擴(kuò)大服務(wù)范圍。

21、</p><p>　　2.1.5易于建立商業(yè)伙伴</p><p>　　以前，企業(yè)如果想與合作伙伴聯(lián)網(wǎng)，雙方的技術(shù)部門就必須首先協(xié)商如何在雙方之間建立租用線路或幀中繼線路。有了VPN之后，這種協(xié)商就顯得毫無必要，真正實(shí)現(xiàn)了想連就連、要斷就斷。這樣可以更加迅速捕捉到一些商業(yè)機(jī)會(huì)，建立起可靠的商業(yè)伙伴關(guān)系。 </p><p>　　2.1.6完全控制主動(dòng)權(quán)</p>

22、;<p>　　VPN技術(shù)使得企業(yè)可以更好地利用ISP的設(shè)施和服務(wù)，同時(shí)又掌握著自己網(wǎng)絡(luò)的控制權(quán)。就是說，企業(yè)可以把撥號(hào)訪問的事情交給ISP，然后自己負(fù)責(zé)用戶的查驗(yàn)、訪問權(quán)、安全性和網(wǎng)絡(luò)變化管理等重要工作即可。</p><p>　　2.1.7支持新興應(yīng)用</p><p>　　VPN不僅能夠支持各種高級(jí)的應(yīng)用，如IP語音，IP傳真。而且還支持各種協(xié)議，如IPv6、RSIP、MPL

23、S、SNMPv3等。</p><p>　　2.2 VPN技術(shù)目前存在的問題</p><p><b>　　2.2.1安全問題</b></p><p>　　由于VPN是利用現(xiàn)有的公共網(wǎng)，搭建的是邏輯線路，并不是真實(shí)的專線，實(shí)質(zhì)是利用特殊的加密技術(shù)實(shí)現(xiàn)專線的效果，因此它不可能做到專線那樣絕對(duì)安全。因此只能通過各種加密技術(shù)來完善VPN的安全問題。<

24、;/p><p>　　2.2.2服務(wù)質(zhì)量問題</p><p>　　VPN是架構(gòu)在公網(wǎng)上的，所以其服務(wù)質(zhì)量往往是不穩(wěn)定的，而服務(wù)質(zhì)量的好壞是各個(gè)企業(yè)都很關(guān)心的問題，不過可以使用QoS來解決這個(gè)問題。</p><p><b>　　2.2.3實(shí)施困難</b></p><p>　　VPN的安全、私有特點(diǎn)主要是利用加密技術(shù)和隧道技術(shù)來實(shí)

25、現(xiàn)，如何因地制宜的使用各種VPN技術(shù)，做到性價(jià)比最高，是最重要的。</p><p>　　總的來說，VPN具有良好靈活性、擴(kuò)展性，是一種能夠代替專線的，但是很難做到真正的與實(shí)際的專線一樣。在企業(yè)網(wǎng)中，如果將VPN使用得當(dāng)將發(fā)揮十分重要的作用。</p><p>　　2.3 VPN技術(shù)分類 </p><p>　　在網(wǎng)絡(luò)開始高速發(fā)展以來，VPN技術(shù)在企業(yè)網(wǎng)中的應(yīng)用非常的活躍

26、。隨著人么安全意識(shí)的不斷提高，各種各樣的VPN技術(shù)不斷的涌現(xiàn)，在企業(yè)信息安全通信中扮演著不可或缺的角色。</p><p>　　不同的運(yùn)營商在開展VPN業(yè)務(wù)時(shí)也推出了不同的分類方式，他們主要從它們業(yè)務(wù)的角度劃分而用戶也有它們自己的的劃分方法它們是根據(jù)自己的的需求進(jìn)行劃分。下面我們按照不同的分類方式對(duì)VPN技術(shù)進(jìn)行介紹。</p><p>　　2.3.1 按接入方式劃分</p>&

27、lt;p>　　這是用戶和運(yùn)營商最常見的VPN劃分方法。根據(jù)用戶的是使用專線還是撥號(hào)上網(wǎng)，VPN接入分為：專線接入和撥號(hào)接入。</p><p>　　（1）專線VPN：這是一種永久在線的VPN，是為已經(jīng)通過專線接入ISP邊緣路由器的用戶提供的VPN解決方案。</p><p>　?。?）撥號(hào)VPN（又稱VPDN）：這是一種根據(jù)你需求而連接的VPN技術(shù)，它是向利用撥號(hào)PSTN或ISDN接入I

28、SP的用戶提供的VPN業(yè)務(wù)。</p><p>　　2.3.2 按協(xié)議實(shí)現(xiàn)類型劃分</p><p>　　根據(jù)在OSI模型不同層次的建立，VPN分為以下幾種：</p><p>　?。?）第二層隧道協(xié)議：多協(xié)議標(biāo)記交換（MPLS），點(diǎn)到點(diǎn)隧道協(xié)議（PPTP）、第二層隧道協(xié)議（L2TP）、第二層轉(zhuǎn)發(fā)協(xié)議（L2F）等。</p><p>　?。?）第三層

29、隧道協(xié)議：這包括IP安全（IPsec）、通用路由封裝協(xié)議（GRE），這是目前最流行的兩種三層協(xié)議。</p><p>　　上兩種類型區(qū)分在于用戶數(shù)據(jù)在協(xié)議棧的哪一層被封裝，其中L2TP主要用于實(shí)現(xiàn)撥號(hào)VPN業(yè)務(wù)但也可以用于實(shí)現(xiàn)專線VPN業(yè)務(wù)，GRE、IPSec和MPLS主要用于實(shí)現(xiàn)專線VPN業(yè)務(wù)，這些協(xié)議之間本身是不沖突的，可以結(jié)合起來使用。</p><p>　　2.3.3 按VPN的服務(wù)類

30、型劃分</p><p>　　根據(jù)服務(wù)類型，VPN業(yè)務(wù)大致分為這三類：接入VPN（Access VPN）、外聯(lián)網(wǎng)VPN（Extranet VPN）和內(nèi)聯(lián)網(wǎng)VPN(Intranet VPN)。一般情況下內(nèi)聯(lián)網(wǎng)用的VPN是專線VPN。</p><p>　?。?）接入VPN：這是企業(yè)員工出差或企業(yè)的分支機(jī)構(gòu)通過公網(wǎng)遠(yuǎn)程訪問企業(yè)內(nèi)部網(wǎng)絡(luò)的VPN方式。遠(yuǎn)程用戶一般是一臺(tái)計(jì)算機(jī)，因此組成的VPN是一種主

31、機(jī)到網(wǎng)絡(luò)的拓?fù)淠Ｐ?。這邊說到的接入VPN不同于前面的撥號(hào)VPN，因?yàn)檫h(yuǎn)程接入VPN可以是專線方式接入的，也可以是撥號(hào)方式接入的。</p><p>　　（2）外聯(lián)網(wǎng)VPN：這是發(fā)生在企業(yè)收購、兼并或同合作伙伴建立戰(zhàn)略聯(lián)盟后，以這種網(wǎng)絡(luò)到網(wǎng)絡(luò)以不對(duì)等的方式連接起來，通過公網(wǎng)來構(gòu)筑的VPN。</p><p>　?。?）內(nèi)聯(lián)網(wǎng)VPN：這一般是企業(yè)的總部與分支機(jī)構(gòu)之間通過公網(wǎng)構(gòu)筑的虛擬網(wǎng)，這是一種以

32、對(duì)等的方式連接起來網(wǎng)絡(luò)到網(wǎng)絡(luò)所組成的VPN。</p><p>　　2.3.4 按VPN業(yè)務(wù)層次模型劃分</p><p>　　這是根據(jù)ISP向用戶提供的VPN服務(wù)工作在第幾層來劃分的，而不是根據(jù)隧道協(xié)議工作在哪一層劃分的。</p><p>　?。?）虛擬專用路由網(wǎng)（VPRN）業(yè)務(wù)：這是對(duì)第三層IP路由網(wǎng)絡(luò)的一種仿真。</p><p>　?。?）

33、虛擬專用局域網(wǎng)段（VPLS）：這是在IP廣域網(wǎng)上仿真LAN的技術(shù)。</p><p>　　（3）撥號(hào)VPN業(yè)務(wù)（VPDN）：這個(gè)是按接入方式劃分的，因?yàn)楹茈y明確VPDN究竟屬于哪一層。</p><p>　?。?）虛擬租用線（VLL）：這用IP網(wǎng)絡(luò)對(duì)租用線進(jìn)行模擬，是對(duì)傳統(tǒng)的租用線業(yè)務(wù)的仿真，而從兩端的用戶看來這樣一條虛擬租用線等價(jià)于過去的租用線。</p><p>&l

34、t;b>　　3.組網(wǎng)需求分析 </b></p><p>　　3.1 網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)原則</p><p><b>　?。?）先進(jìn)性</b></p><p>　　組網(wǎng)方案設(shè)計(jì)應(yīng)適應(yīng)技術(shù)發(fā)展的潮流，在兼顧技術(shù)上的成熟性同時(shí)也要盡量做到技術(shù)的先進(jìn)性。</p><p><b>　?。?）實(shí)用性</b

35、></p><p>　　出于對(duì)網(wǎng)絡(luò)的整體性和對(duì)資源的有限的考慮，在方案設(shè)計(jì)時(shí)候都應(yīng)該注意實(shí)用性，這樣才能夠做到以最少的資源達(dá)到最優(yōu)的效果。</p><p><b>　?。?）可靠性</b></p><p>　　對(duì)于企業(yè)網(wǎng)來說，穩(wěn)定就是其最重要的要求。一個(gè)可靠的企業(yè)網(wǎng)絡(luò)可以為企業(yè)帶來無法衡量的利益，反之則有可能對(duì)公司帶來不可估量的損失。&l

36、t;/p><p><b>　?。?）完整性</b></p><p>　　一個(gè)好的網(wǎng)絡(luò)設(shè)計(jì)在做到實(shí)現(xiàn)基本功能后，對(duì)于其他各方面都應(yīng)該考慮周全，盡量使得整個(gè)網(wǎng)絡(luò)完善強(qiáng)健。</p><p><b>　　3.2 現(xiàn)狀</b></p><p>　　首先，企業(yè)在組建網(wǎng)絡(luò)時(shí)一般會(huì)考慮投入的資金以及網(wǎng)絡(luò)通訊在今后可獲得

37、的利益；</p><p>　　其次，企業(yè)內(nèi)部或者說企業(yè)總公司與旗下的分公司為了長久的發(fā)展需要，他們需要有穩(wěn)定的、相對(duì)安全的連接方式以適應(yīng)；</p><p>　　再次，一家企業(yè)同戰(zhàn)略合作伙伴之間就應(yīng)該要有靈活多變的網(wǎng)絡(luò)連接類型；</p><p>　　最后，對(duì)于一家企業(yè)來說，充裕的帶寬，優(yōu)質(zhì)的網(wǎng)絡(luò)服務(wù)質(zhì)量，是公司今后業(yè)務(wù)發(fā)展的保障。</p><p&g

38、t;　　3.3 采用VPN的理由</p><p>　　相對(duì)于企業(yè)對(duì)網(wǎng)絡(luò)設(shè)計(jì)的要求，最好使用VPN，有以下理由：</p><p>　?。?）與向運(yùn)營商租用專線或者搭建專線對(duì)比，使用VPN是可以達(dá)到專線效果但比專線節(jié)省大量費(fèi)</p><p>　　用的一種最優(yōu)技術(shù)手段；</p><p>　　（2）專線的使用很大程度地制約了網(wǎng)絡(luò)的靈活性，而使用VPN

39、可以很好的彌補(bǔ)這一點(diǎn)；</p><p>　?。?）使用QoS的VPN服務(wù)通過配置隊(duì)列的優(yōu)先級(jí)可以控制不同類型的數(shù)據(jù)流量，對(duì)于服務(wù)質(zhì)量</p><p>　　可以有很大的改善，對(duì)企業(yè)內(nèi)部的管理有很大的幫助。</p><p>　　本設(shè)計(jì)涉及的VPN技術(shù)有MPLS VPN和Ipsec這幾種。下面我們分別來介紹一下這兩種VPN技術(shù)。</p><p>　

40、　4 MPLS VPN原理</p><p>　　4.1 MPLS VPN體系基本架構(gòu) </p><p>　　MPLS VPN同時(shí)汲取的重疊模型的VPN和對(duì)等體模型VPN的優(yōu)點(diǎn)，將他們組合成了單一的產(chǎn)品。了解MPLS VPN前必須來先了解一笑它相關(guān)的一些術(shù)語。</p><p>　　CE 路由器—— 客戶端路由器，直連在PE路由器上。</p><p

41、>　　P網(wǎng)絡(luò)——由ISP控制的核心路由器組成的內(nèi)部網(wǎng)絡(luò)。</p><p>　　LSP——標(biāo)簽交換數(shù)據(jù)包通過P網(wǎng)絡(luò)傳輸?shù)教囟康臅r(shí)所用到的路徑。</p><p>　　VRF表——與客戶相關(guān)的路由表實(shí)例。</p><p>　　RD——一個(gè)64bit標(biāo)識(shí)符，附加在ipv4地址前可組成全球唯一的VPNV4地址。</p><p>　　RT——是V

42、PNV4 BGP路由的附加屬性，用以指示VPN的成員關(guān)系。</p><p>　　圖4-1 MPLS VPN網(wǎng)絡(luò)主要由CE、PE和P組成</p><p>　　4.1.1 CE路由器架構(gòu)</p><p>　　CE路由器非常的重要，不管用什么名稱它本質(zhì)上還是一臺(tái)路由器，運(yùn)行IGP協(xié)議（可用的協(xié)議包括EIGRP、OSPF、RIP、BGP或者靜態(tài)路由）并與發(fā)現(xiàn)的鄰居路由器交換

43、路由信息。CE路由器不需要支持MPLS，也不屬于MPLS體系架構(gòu)的組成部分，只用來負(fù)責(zé)發(fā)送和接收客戶的路由信息。MPLS提供商的P路由器對(duì)于CE路由器是不可見的，所有路由重分發(fā)操作以及MPLS相關(guān)的其他操作都是由PE路由器完成的，而它對(duì)于站點(diǎn)的CE路由器是完全透明的。</p><p>　　4.1.2 PE路由器架構(gòu)</p><p>　　PE路由器是比較高端的設(shè)備，可同時(shí)接入和并發(fā)比較龐大的

44、數(shù)據(jù)流量而不會(huì)產(chǎn)生鏈路堵塞。PE設(shè)備與用戶的CE設(shè)備直接相連，用于處理VPNV4路由，負(fù)責(zé)VPN業(yè)務(wù)接入，是MPLS三層VPN的主要實(shí)現(xiàn)者。骨干網(wǎng)核心路由器P負(fù)責(zé)快速轉(zhuǎn)發(fā)數(shù)據(jù)，其不與CE直接相連。在整個(gè)MPLS VPN網(wǎng)絡(luò)中，P、PE設(shè)備需要支持MPLS的基本功能，P設(shè)備是MPLSVPN網(wǎng)絡(luò)的關(guān)鍵設(shè)備，根據(jù)PE路由器有無參與客戶的路由，MPLS VPN又分成Layer3MPLS VPN和Layer2 MPLS VPN。其中的Layer3

45、 MPLS VPN遵循RFC2547bis標(biāo)準(zhǔn)，使用MPLS技術(shù)在VPN站點(diǎn)之間傳送數(shù)據(jù)，使用MBGP在PE路由器之間分發(fā)路由信息，因而又稱為BGP/MPLS VPN。</p><p>　　圖4-2 MPLS VPN路由</p><p>　　在MPLS VPN網(wǎng)絡(luò)中，因?yàn)閷?duì)VPN的所發(fā)生的處理都在PE路由器上，因此我們?cè)赑E路由器上啟用了VPNv4地址協(xié)議，引入了RD(RouteDisti

46、nguisher)和RT(RouteTarget)屬性。RD具有惟一性，通過將8比特的RD作為IPv4地址前綴的擴(kuò)展項(xiàng)，可以使不惟一的IPv4地址轉(zhuǎn)化為惟一確定的VPNv4地址。VPNv4地址只用于骨干網(wǎng)絡(luò)上路由信息的分發(fā)，它對(duì)客戶端來說是不可預(yù)見性的。PE的對(duì)等體之間發(fā)布是基于VPNv4地址族的路由條目，而且通常是通過MPBGP實(shí)現(xiàn)的。</p><p>　　4.2 MPLS VPN 路由傳送的原理</p&

47、gt;<p>　　MP-IBGP在鄰居間傳遞VPN用戶路由時(shí)會(huì)將IPv4地址打上RD前綴，這樣以來VPN用戶傳來的IPv4路由就轉(zhuǎn)變?yōu)閂PNv4路由，這樣就保證VPN用戶的路由到了對(duì)端的PE上以后，</p><p>　　即使存在地址空間重疊的情況，對(duì)端的PE也能夠區(qū)分分屬不同VPN的用戶路由。RT使用了</p><p>　　BGP中擴(kuò)展團(tuán)體屬性來用于路由信息的分發(fā)，同時(shí)其具有

48、全局惟一性，同一個(gè)RT只能被一</p><p>　　個(gè)VPN所使用，它分成Import RT和Export RT，分別用于路由信息的導(dǎo)入策略和導(dǎo)出策略。 </p><p>　　在PE路由器上針對(duì)每個(gè)site都創(chuàng)建個(gè)虛擬路由轉(zhuǎn)發(fā)表VRF(VPNRouting&Forwarding)，</p><p>　　VRF為每個(gè)site維護(hù)邏輯上分離出來的路由表，每個(gè)VR

49、F都有Import RT和Export RT兩種屬性。當(dāng)PE路由器從VRF表中導(dǎo)出VPN路由條目時(shí)，要用Export RT對(duì)VPN路由條目進(jìn)行標(biāo)記。當(dāng)PE路由器收到VPNv4路由條目時(shí)，只有當(dāng)所帶RT標(biāo)記與VRF表中任意一個(gè)Import RT路由相符時(shí)才會(huì)被導(dǎo)入到VRF表中，從而形成不同的VPN，實(shí)現(xiàn)VPN的互訪與隔離的效果。 可以通過對(duì)Import RT和Export RT的進(jìn)行適當(dāng)?shù)呐渲?，運(yùn)營商可以構(gòu)建不同拓?fù)漕愋偷腣PN網(wǎng)絡(luò)

50、。 整個(gè)MPLS VPN體系結(jié)構(gòu)可以分成數(shù)據(jù)面和控制面，控制面定義了LSP的建立和VPN路由信息的分發(fā)過程，而數(shù)據(jù)面則定義了VPN數(shù)據(jù)的轉(zhuǎn)發(fā)過程。</p><p>　　在控制層面，核心路由器P并不參與VPN路由信息的交互，客戶路由器是通過CE和PE路由器之間的路由交互知道屬于某個(gè)VPN的網(wǎng)絡(luò)拓?fù)湫畔?。CE-PE路由器之間通過采用靜態(tài)/默認(rèn)路由或采用ICP(RIPv2、OSPF)等動(dòng)態(tài)路由協(xié)議。PE-PE之間通過采

51、MP-IBGP進(jìn)行路由信息的交換，PE路由器通過維持IBGP網(wǎng)狀連接或使用路由反射器來確保路由信息分發(fā)給所有的PE路由器。除了路由協(xié)議外，在控制層面工作的協(xié)議還有LDP，它在整個(gè)MPLS網(wǎng)絡(luò)中進(jìn)行分發(fā)標(biāo)簽，從而形成了數(shù)據(jù)轉(zhuǎn)發(fā)的邏輯通道LSP。</p><p>　　在數(shù)據(jù)轉(zhuǎn)發(fā)層面，MPLS VPN網(wǎng)絡(luò)中傳輸?shù)腣PN業(yè)務(wù)數(shù)據(jù)采用了外標(biāo)簽(又稱隧道標(biāo)簽)和內(nèi)標(biāo)簽(又稱VPN標(biāo)簽)兩層標(biāo)簽棧結(jié)構(gòu)。當(dāng)VPN傳輸數(shù)據(jù)的分組由

52、CE路由器發(fā)給PE路由器的入口后，PE路由器開始查找該子接口相對(duì)應(yīng)的VRF表，從VRF表中得到所需的VPN標(biāo)簽、初始外層標(biāo)簽和到出口PE路由器的輸出接口。當(dāng)VPN分組被打上兩層標(biāo)簽后，再通過PE輸出接口轉(zhuǎn)發(fā)出去，然后在MPLS骨干網(wǎng)絡(luò)中沿著LSP被逐級(jí)轉(zhuǎn)發(fā)下去。在出口PE路由器之前的最后一個(gè)P路由器上，外層標(biāo)簽會(huì)被彈出去，P路由器將只含有VPN標(biāo)簽的分組轉(zhuǎn)發(fā)給出口PE路由器上。出口的PE路由器則根據(jù)內(nèi)層標(biāo)簽表來查找對(duì)應(yīng)的輸出接口，當(dāng)彈出

53、VPN標(biāo)簽后通過該接口將VPN分組再發(fā)送給相應(yīng)的CE路由器，這樣就實(shí)現(xiàn)了整個(gè)數(shù)據(jù)轉(zhuǎn)發(fā)過程。以上就是MPLS VPN路由傳送的原理。</p><p>　　5.Ipsec VPN</p><p>　　5.1 Ipsec VPN技術(shù)</p><p>　　Ipsec 是一種保護(hù)IP數(shù)據(jù)在不同地方傳輸時(shí)候安全性的功能特性值。包含在VPN中的所有地點(diǎn)都要定義VPN類型。它的地點(diǎn)

54、可以是企業(yè)總部、大型分支機(jī)構(gòu)、一個(gè)小型遠(yuǎn)程站點(diǎn)、一個(gè)終端客戶機(jī)、數(shù)據(jù)中心等。任意兩個(gè)這樣的地點(diǎn)組合在一起就可以確定VPN的類型。</p><p>　　Ipsec 無法將其業(yè)務(wù)擴(kuò)展到數(shù)據(jù)鏈路層，只能夠保護(hù)IP層以上的數(shù)據(jù)。</p><p>　　5.1.1 Ipsec的功能特性</p><p>　　數(shù)據(jù)完整性：確保數(shù)據(jù)在通過Ipsec VPN進(jìn)行傳送的時(shí)不被修改，保證其

55、完整性。</p><p>　　數(shù)據(jù)機(jī)密性：指數(shù)據(jù)在VPN的雙方之間時(shí)通過Ipsec vpn傳送時(shí)保持?jǐn)?shù)據(jù)的私密性。</p><p>　　數(shù)據(jù)源驗(yàn)證：驗(yàn)證Ipsec vpn的數(shù)據(jù)源。它不能夠單獨(dú)實(shí)現(xiàn)必須依賴于數(shù)據(jù)的完整性服務(wù)，由VPN的每個(gè)端點(diǎn)來完成，以確保對(duì)方的身份。 </p><p>　　防重放: 這個(gè)是利用數(shù)據(jù)包中的序列號(hào)和接受端滑動(dòng)窗口確保VPN中的數(shù)據(jù)沒有被

56、復(fù)制。</p><p>　　5.1.2 Ipsec協(xié)議</p><p>　　Ipsec 提供了兩種安全協(xié)議，為IPSec對(duì)等體之間傳輸?shù)腎P數(shù)據(jù)流提供安全服務(wù)：</p><p>　　ESP（Encapsulating Security Payload）封裝安全有效負(fù)載</p><p>　　AH（Authentication Header）驗(yàn)證

57、報(bào)頭 </p><p>　　(1) ESP 是為IPSEC提供數(shù)據(jù)機(jī)密性、源驗(yàn)證、完整性等特性一種體系框架。以下是IPSEC ESP可以使用的加密方法。</p><p>　　AES 高級(jí)數(shù)據(jù)加密標(biāo)準(zhǔn)</p><p>　　DES（數(shù)據(jù)加密標(biāo)準(zhǔn)）：是一種應(yīng)用很廣泛的傳統(tǒng)的加密方式。</p><p>　　3DES(3重?cái)?shù)據(jù)加密標(biāo)準(zhǔn))</p&g

58、t;<p>　　(2) AH是一種為IPSEC 提供數(shù)據(jù)源驗(yàn)證、完整性、防重放功能的體系架構(gòu)，但是它不提供機(jī)密性，所以它無法保證數(shù)據(jù)在傳輸?shù)倪^程中是否被偷窺，因此現(xiàn)在很少單獨(dú)的使用AH，一般都是和ESP配合使用。AH和ESP都是利用HMAC（基于哈希的報(bào)文驗(yàn)證）來進(jìn)行完整性檢查和驗(yàn)證的。</p><p>　　5.1.3 IPSEC模式 </p><p>　　Ipsec 定義了

59、隧道模式和傳送模式兩種的運(yùn)行模式，它們對(duì)原始的IP包提供不同的保護(hù)能力。</p><p>　　傳送模式就是僅僅把Ipsec頭部插在IP包中時(shí)。所以在傳送模式中，原始IP頭部暴露在外面，沒有得到保護(hù)。在數(shù)據(jù)包穿過非受信的網(wǎng)絡(luò)時(shí)，包中的數(shù)據(jù)其實(shí)是安全的，因?yàn)榫W(wǎng)絡(luò)中只能看到通信方的真實(shí)IP地址。</p><p>　　隧道模式中，包括原始IP 頭部在內(nèi)，整個(gè)數(shù)據(jù)包都可以得到保護(hù)，隧道模式會(huì)產(chǎn)生一個(gè)

60、全新的隧道端點(diǎn)IP地址，這樣原來的IP地址就不會(huì)暴露在外面，這樣IP數(shù)據(jù)包就能夠得到更好的保護(hù)。</p><p>　　圖5-1 vpn通道</p><p><b>　　Ip幀/包 </b></p><p><b>　　表5-1</b></p><p><b>　　AH傳輸模式封裝<

61、/b></p><p><b>　　表5-2</b></p><p><b>　　AH隧道模式封裝</b></p><p><b>　　表5-3</b></p><p><b>　　ESP傳輸模式封裝</b></p><p>

62、<b>　　表5-4</b></p><p><b>　　ESP隧道模式封裝</b></p><p><b>　　表5-5</b></p><p>　　5.1.4 對(duì)等體驗(yàn)證</p><p>　　Ipsec對(duì)數(shù)據(jù)進(jìn)行加密防止數(shù)據(jù)在途中被竊取和修改，保護(hù)傳送過程中的數(shù)據(jù)，但是首先

63、VPN端點(diǎn)要能夠?qū)?duì)方端點(diǎn)的進(jìn)行確認(rèn)，否則就談不上數(shù)據(jù)包的保密了。所以數(shù)據(jù)在傳送之前必須驗(yàn)證IPSEC VPN的端點(diǎn)。</p><p>　　下面舉出5種方法可以驗(yàn)證IPSEC對(duì)等體：</p><p>　　用戶名和密碼——在端點(diǎn)配置他們，但是因?yàn)橛脩裘兔艽a是經(jīng)常使用的，所以這個(gè)驗(yàn)證方法安全性不高。</p><p>　　數(shù)據(jù)證書——它是由第三方CA給設(shè)備發(fā)數(shù)字證書。證

64、書被發(fā)放到設(shè)備，需要驗(yàn)證設(shè)備的時(shí)候向第三方提交證書，然后由第三方進(jìn)行檢查，通過了就驗(yàn)證成功。</p><p>　　預(yù)共享密鑰——在每個(gè)對(duì)等體預(yù)先設(shè)置一個(gè)密鑰，這樣可以保證信息的絕對(duì)的安全。</p><p>　　OTP（一次性密碼）——一般都是以TAN或PIN的方式來識(shí)別。</p><p>　　生物測定——是通過分析人的物理特征例如語音、指紋和臉部的特征來驗(yàn)證。<

65、;/p><p>　　5.2 IKE（Internet 密鑰交換）</p><p>　　IKE協(xié)議是一種動(dòng)態(tài)更改Ipsec 密鑰和參數(shù)的機(jī)制，通過自動(dòng)的交換機(jī)制和密鑰的更新來防止Ipsec會(huì)話被攻擊。同時(shí)，IPSEC可以在兩個(gè)IPSEC端點(diǎn)之間自動(dòng)建立起來SA（安全關(guān)聯(lián)），SA是兩個(gè)對(duì)等體之間事先協(xié)商好的一個(gè)參數(shù)。</p><p>　　IKE進(jìn)程可以分為兩個(gè)階段，階段1是

66、一個(gè)強(qiáng)制的IKE階段，它是建立在對(duì)等體之間一個(gè)雙向的SA，即兩個(gè)對(duì)等體的哈希、加密、組等都要相同，否則對(duì)等體之間就無法建立IPSEC連接，緊接著，這個(gè)階段還要執(zhí)行對(duì)等體的驗(yàn)證。階段2也是一個(gè)強(qiáng)制的IKE階段，它是利用階段1協(xié)商同意的參數(shù)在兩個(gè)端點(diǎn)之間建立單向的SA。換而言之，就是每個(gè)方向都要使用獨(dú)立的密鑰素材。</p><p><b>　　5.3 加密算法</b></p>&l

67、t;p>　　所謂加密，就是將密鑰和數(shù)學(xué)加密算法運(yùn)用到數(shù)據(jù)上面的一種表現(xiàn)形式。這樣子一來，加密后的數(shù)據(jù)只能夠被有解密能力的人讀取。加密算法一般可以分為兩種：同步加密和異步加密。</p><p>　　5.3.1 同步加密</p><p>　　同步加密算法又稱為秘密密鑰加密技術(shù)，它需要使用同一個(gè)秘密密鑰來進(jìn)行加密和解密。它注重的是保護(hù)密鑰的安全性，否則任何人獲得了密鑰都可以對(duì)數(shù)據(jù)進(jìn)行解密，

68、從而獲取到數(shù)據(jù)，這樣存在不安全性。這種加密算法主要用在20世紀(jì)70年代中期。同步加密通常是用于大批量的加密需求。</p><p>　　常見的同步加密算法主要有DES、3DES和AES。</p><p>　　AES：它是唯一一個(gè)被國家安全局用在絕密網(wǎng)絡(luò)的中的同步加密算法。是當(dāng)前同步加密的選擇，這個(gè)密鑰長度是按64比特進(jìn)行遞增。</p><p>　　DES :密鑰有56

69、bit，破解的話使用現(xiàn)代計(jì)算機(jī)只要24個(gè)小時(shí)左右可以破解，安全性不高。</p><p>　　3DES：它使用的是三個(gè)不同的56bit密鑰（DES加密、DES解密、DES加密）用來創(chuàng)建密文。這個(gè)加密方法只是在理論上純?cè)谌毕?，但是到目前還沒有被攻破掉。</p><p>　　5.3.2 異步加密算法</p><p>　　異步加密算法是使用不同的密鑰進(jìn)行加密和解密，加密的密

70、鑰稱為公鑰（public key），用于加密的密鑰不能夠用于解密，用于解密的密鑰稱為私鑰（private key）。公鑰可以廣泛的發(fā)出，但是私鑰就必須的保密的。</p><p>　　對(duì)于數(shù)據(jù)簽名來講，這兩種密鑰的用途卻是相反的，公鑰是用來解密和驗(yàn)證簽名的，而私鑰是用來簽署消息的哈希值。</p><p>　　6. 企業(yè)VPN網(wǎng)絡(luò)構(gòu)建的分析與實(shí)現(xiàn) </p><p>　　

71、6.1 方案應(yīng)用領(lǐng)域</p><p>　　目前，比較大規(guī)模的公司一般都有自己的子公司，如何搭建起子公司同公司總部安全、多用途、高效率、低成本的網(wǎng)絡(luò)鏈接，這是每個(gè)企業(yè)都十分關(guān)注的問題。傳統(tǒng)的方法有專線連接、IP地址直接訪問、撥號(hào)連接、無線傳輸?shù)龋墒撬鼈儾皇琴M(fèi)用高昂，就是功能單一，而且還有可能存在安全隱患。不過這些問題如果使用VPN技術(shù)，這些難題迎刃而解。另外，現(xiàn)在很多企業(yè)都有自己的合作伙伴，合作伙伴之間的VPN網(wǎng)

72、絡(luò)需要有很高的靈活性，使用VPN技術(shù)可以做到簡單快捷的與合作伙伴建立聯(lián)系，真正實(shí)現(xiàn)想連就連，想斷就斷。 </p><p>　　6.2 組網(wǎng)需求分析</p><p>　?。?）公司總部與旗下分公司之間不僅要有穩(wěn)定的網(wǎng)絡(luò)連接支持，而且對(duì)于服務(wù)質(zhì)量的要求也相對(duì)較高。另外，網(wǎng)絡(luò)安全問題應(yīng)該擺在第一位， </p><p>　?。?）公司總部同其子公司或者合作伙伴之間的網(wǎng)絡(luò)應(yīng)選

73、擇擴(kuò)展性高，靈活性強(qiáng)的網(wǎng)絡(luò)連接類型。</p><p>　　（3）企業(yè)網(wǎng)絡(luò)在進(jìn)行規(guī)劃設(shè)計(jì)時(shí)要注重考慮網(wǎng)絡(luò)的整體性價(jià)比，在考慮網(wǎng)絡(luò)的強(qiáng)度的同時(shí)要盡量節(jié)省公司資源，實(shí)現(xiàn)低成本，高效益的目的。</p><p>　　6.3 組網(wǎng)方案規(guī)劃</p><p>　　6.3.1 租用專線與使用VPN成本對(duì)比</p><p>　?。?）租用專線費(fèi)用如下所示：<

74、;/p><p>　　圖6-1 租用專線費(fèi)用</p><p>　　（2）使用VPN技術(shù)不用申請(qǐng)專線，只需要原有的公網(wǎng)基礎(chǔ)以及現(xiàn)有的路由器即可，可以大大節(jié)省開支費(fèi)用。</p><p>　　6.3.2VPN組網(wǎng)方案設(shè)計(jì)</p><p>　?。?）B公司與旗下分公司之間使用MPLS VPN技術(shù)，實(shí)現(xiàn)總公司與子公司之間進(jìn)行通信的目的，加以防火墻以保證數(shù)據(jù)的

75、安全性。</p><p>　?。?）C公司與旗下分公司之間使用Ipsec VPN實(shí)現(xiàn)，加以ACL與NAT進(jìn)行完善，同時(shí)配備防火墻以保證數(shù)據(jù)的安全性。</p><p>　　6.4 組網(wǎng)設(shè)備選型及實(shí)驗(yàn)地址規(guī)劃</p><p>　　本實(shí)驗(yàn)采用的是小凡模擬器來模擬真實(shí)的環(huán)境，在實(shí)驗(yàn)中用到的路由的主要設(shè)備是cisco 3640系列的路由器。本設(shè)計(jì)運(yùn)用到的ios版本是c3640

76、-jk9s-mz.124-16。</p><p><b>　　詳細(xì)配置表</b></p><p><b>　　表6-1</b></p><p>　　6.5企業(yè)VPN網(wǎng)絡(luò)構(gòu)建總體設(shè)備拓?fù)鋱D</p><p><b>　　圖6-2總拓?fù)鋱D</b></p><p&g

77、t;　　6.6模擬器用模擬實(shí)驗(yàn)圖</p><p><b>　　圖6-3模擬實(shí)驗(yàn)圖</b></p><p>　　說明：由于使用模擬器來模擬真實(shí)拓?fù)?，由于?jì)算機(jī)一次無法啟用太多的設(shè)備，因此對(duì)于一些對(duì)于本課題不是很重要的設(shè)備被省略掉了，主要進(jìn)行VPN配置。</p><p><b>　　6.7網(wǎng)絡(luò)設(shè)備配置</b></p>

78、;<p>　　6.7.1用模擬器搭建拓?fù)?lt;/p><p>　　選擇路由器數(shù)量、設(shè)備類型、ios文件，如圖6-4所示。</p><p><b>　　圖6-4 設(shè)備選型</b></p><p>　　選擇計(jì)算idle值，確定，把結(jié)果填入idle值選項(xiàng)框。</p><p>　　圖6-5 計(jì)算idle值</p&

79、gt;<p>　　圖6-6 計(jì)算出idle值</p><p>　　確定好生成文件輸出目錄。</p><p>　　圖6-7選定文件生成目錄</p><p>　　配置各臺(tái)路由器的接口和型號(hào)。</p><p><b>　　圖6-8配置路由器</b></p><p>　　將各個(gè)路由器進(jìn)行連接

80、，點(diǎn)擊生成BAT文件。完成后，在之前設(shè)置的路徑的文件夾中找到7個(gè)后綴名為bat的文件，都打開后就可對(duì)其進(jìn)行配置了。</p><p>　　6-9 實(shí)現(xiàn)拓?fù)涞幕ヂ?lián)</p><p>　　6.7.2使用SecureCRT軟件進(jìn)行配置</p><p>　　圖6-10 SecureCRT配置界面</p><p><b>　　6.8實(shí)驗(yàn)基礎(chǔ)配置&

81、lt;/b></p><p>　　路由器接口的基礎(chǔ)配置：</p><p><b>　　B:</b></p><p><b>　　Router>en</b></p><p>　　Router# conf t </p><p>　　Router(config)#ho

82、stname B **/修改路由器的名字</p><p>　　B( config )#no ip do lo **/關(guān)閉動(dòng)態(tài)的域名解析，這樣在敲錯(cuò)命令的時(shí)候會(huì)很快的恢復(fù)</p><p>　　B(config)#line console 0 </p><p>　　B(config-line)#exec-timeout 0 0 **/關(guān)閉控制臺(tái)空閑會(huì)話

83、超時(shí)，不會(huì)被路由器自動(dòng)踢除</p><p>　　B(config-line)#logging synchronous **/關(guān)閉日志同步，阻止自動(dòng)彈出提示信息</p><p>　　B(config-line)#exit</p><p>　　B(config)#int s0/0 **/進(jìn)入接口</p><p>　

84、　B(config-if)#ip add 13.13.13.1 255.255.255.0 **/添加IP地址</p><p>　　B(config-if)#no shut **/啟用接口</p><p>　　B (config)#int lo0 **/創(chuàng)建一個(gè)環(huán)回口 </p><p>　　B

85、 (config-if)#ip add 192.168.2.0 255.255.255.255</p><p>　　圖6-11 B路由接口配置信息</p><p><b>　　BZ:</b></p><p><b>　　Router>en</b></p><p>　　Router# conf

86、 t</p><p>　　Router(config)#hostname BZ</p><p>　　BZ ( config )#no ip do lo </p><p>　　BZ (config)#line console 0</p><p>　　BZ (config-line)#exec-timeout 0 0</p>

87、<p>　　BZ (config-line)#logging synchronous</p><p>　　BZ (config-line)#exit</p><p>　　BZ (config)#int s0/1</p><p>　　BZ(config-if)#ip add 56.56.56.6 255.255.255.0</p><

88、;p>　　BZ(config-if)#no shut</p><p>　　BZ(config-if)#exit</p><p>　　BZ(config)#int lo0</p><p>　　BZ (config-if)#ip add192.168.20.0 255.255.255.255</p><p>　　BZ(config-if)

89、#exit</p><p>　　圖6-12 BZ路由接口配置信息</p><p><b>　　C:</b></p><p><b>　　Router>en</b></p><p>　　Router# conf t</p><p>　　Router(config)#ho

90、stname C</p><p>　　C ( config )#no ip do lo</p><p>　　C (config)#line console 0</p><p>　　C (config-line)#exec-timeout 0 0</p><p>　　C (config-line)#logging synchronous<

91、/p><p>　　C (config-line)#exit</p><p>　　C (config)#int s0/2</p><p>　　C(config-if)#ip add 23.23.23.2 255.255.255.0</p><p>　　C(config-if)#no shut</p><p>　　C(con

92、fig-if)#exit</p><p>　　C(config)#int lo0</p><p>　　C(config-if)#ip add 192.168.1.1 255.255.255.255</p><p>　　C(config-if)#exit</p><p>　　圖6-13 C路由接口配置信息</p><p&g

93、t;<b>　　CZ:</b></p><p><b>　　Router>en</b></p><p>　　Router# conf t</p><p>　　CZ (config)#hostname CZ</p><p>　　CZ ( config )#no ip do lo <

94、;/p><p>　　CZ (config)#line console 0</p><p>　　CZ(config-line)#exec-timeout 0 0</p><p>　　CZ (config-line)#logging synchronous</p><p>　　CZ (config-line)#exit</p><

95、p>　　CZ (config)#int s0/2</p><p>　　CZ (config-if)#ip add 57.57.57.7 255.255.255.0</p><p>　　CZ(config-if)#no shut</p><p>　　CZ(config-if)#exit</p><p>　　CZ(config)#int

96、lo0</p><p>　　CZ(config-if)#ip add 192.168.10.1 255.255.255.255</p><p>　　CZ(config-if)#exit</p><p>　　圖6-14 CZ路由接口配置信息</p><p><b>　　B_PE: </b></p><

97、p><b>　　Router>en</b></p><p>　　Router# conf t</p><p>　　Router(config)#hostname B_PE</p><p>　　B_PE ( config )#no ip do lo</p><p>　　B_PE (config)#line c

98、onsole 0</p><p>　　B_PE (config-line)#exec-timeout 0 0</p><p>　　B_PE(config-line)#logging synchronous</p><p>　　B_PE (config-line)#exit</p><p>　　B_PE(config)#int s0/0<

99、/p><p>　　B_PE(config-if)#ip add 13.13.13.3 255.255.255.0</p><p>　　B_PE (config-if)#no shut</p><p>　　B_PE (config)#int s0/1</p><p>　　B_PE (config-if)#ip add 34.34.34.3 25

100、5.255.255.0</p><p>　　B_PE (config-if)#no shut</p><p>　　B_PE (config)#int s0/2</p><p>　　B_PE (config-if)#ip add 23.23.23.3 255.255.255.0</p><p>　　B_PE (config-if)#no sh

101、ut</p><p>　　圖6-15 B_PE路由接口配置信息</p><p><b>　　BZ_PE:</b></p><p><b>　　Router>en</b></p><p>　　Router# conf t</p><p>　　Router(config)

102、#hostname BZ_PE</p><p>　　BZ_PE ( config )#no ip do lo </p><p>　　BZ_PE (config)#line console 0</p><p>　　BZ_PE (config-line)#exec-timeout 0 0</p><p>　　BZ_PE (config-l

103、ine)#logging synchronous</p><p>　　BZ_PE (config-line)#exit</p><p>　　BZ_PE(config)#int s0/1</p><p>　　BZ_PE (config-if)#ip add 56.56.56.5 255.255.255.0</p><p>　　BZ_PE (c

104、onfig-if)#no shut</p><p>　　BZ_PE (config-if)#exit</p><p>　　BZ_PE (config)#int s0/0</p><p>　　BZ_PE (config-if)#ip add 45.45.45.5 255.255.255.0</p><p>　　BZ_PE (config-if

105、)#no shut</p><p>　　BZ_PE (config)#int s0/2</p><p>　　BZ_PE (config-if)#ip add 57.57.57.5 255.255.255.0</p><p>　　BZ_PE (config-if)#no shut</p><p>　　BZ_PE (config-if)#ex

106、it</p><p>　　圖6-16 BZ_PE路由接口配置信息</p><p><b>　　B_P:</b></p><p><b>　　Router>en</b></p><p>　　Router# conf t</p><p>　　Router(config)#

107、hostname B_P</p><p>　　B_P ( config )#no ip do lo </p><p>　　B_P (config)#line console 0</p><p>　　B_P (config-line)#exec-timeout 0 0</p><p>　　B_P (config-line)#loggin

108、g synchronous</p><p>　　B_P (config-line)#exit</p><p>　　B_P (config)#int s0/0 </p><p>　　B_P (config-if)#ip add 45.45.45.4 255.255.255.0</p><p>　　B_P (config-if)#no shu

109、t</p><p>　　B_P (config)#int s0/1</p><p>　　B_P (config-if)#ip add 34.34.34.4 255.255.255.0</p><p>　　B_P (config-if)#no shut</p><p>　　圖6-17 P路由接口配置信息</p><p&g

110、t;　　6.9 MPLS VPN的配置</p><p>　　圖6-18 MPLS VPN模擬實(shí)驗(yàn)圖</p><p>　　6.9.1 配置CE路由器</p><p>　　CE路由器的配置是標(biāo)準(zhǔn)的，沒有什么特別的地方。惟一的限制是，當(dāng)前在CE路由器和PE路由器之間使用的路由選擇協(xié)議必須是RIP第2版，EIGRP、OSPF或EBGP。也可以使用靜態(tài)路由，本設(shè)計(jì)使用RIP協(xié)

111、議進(jìn)行配置。</p><p>　　在CE端運(yùn)行RIP協(xié)議第2版，然后把其直連的網(wǎng)段加入到這個(gè)協(xié)議中</p><p>　　B(config)#router rip **/運(yùn)行路由RIP協(xié)議</p><p>　　B(config-router)#no auto-summary **/關(guān)閉自動(dòng)匯總</p><p>　　B(

112、config-router)#version 2 **/修改RIP的版本號(hào)</p><p>　　B(config-router)#network 1.0.0.0 **/把網(wǎng)段加入的協(xié)議</p><p>　　B(config-router)#network 13.0.0.0 </p><p>　　BZ(config)#router rip

113、 </p><p>　　BZ(config-router)#no auto-summary </p><p>　　BZ(config-router)#version 2 </p><p>　　BZ(config-router)#network 6.0.0.0 </p><p>　　BZ(config-router)#

114、network 56.0.0.0</p><p>　　6.9.2 配置PE路由器</p><p>　　PE路由器的配置比CE 路由器復(fù)雜得多，本設(shè)計(jì)中關(guān)于PE路由器的配置涉及的9個(gè)步驟如下：</p><p>　　第一步：配置環(huán)回接口，以用作BGP更新源和LDP路由器ID。</p><p>　　B_PE (config)#int lo0<

115、/p><p>　　B_PE (config-if)#ip add 3.3.3.3 255.255.255.255</p><p>　　B_PE (config-if)#exit</p><p>　　P E2(config)#int lo0</p><p>　　BZ_PE (config-if)#ip add 5.5.5.5 255.255.

116、255.255</p><p>　　P E2(config-if)#exit</p><p>　　第二步：啟用CEF，如果沒有在PE路由器上啟用CEF，MPLS將不能正常運(yùn)行。</p><p>　　B_PE(config)#ip cef **在全局模式下運(yùn)行MPLS</p><p>　　BZ_PE(config

117、)#ip cef </p><p>　　第三步：在核心接口上配置MPLS。</p><p>　　B_PE (config)#int s0/0 **在接口下運(yùn)行MPLS</p><p>　　B_PE(config-if)#mpls ip</p><p>　　B_PE (config)#

118、int s0/1 </p><p>　　B_PE(config-if)#mpls ip</p><p>　　BZ_PE (config)#int s0/0 </p><p>　　BZ_PE(config-if)#mpls ip</p><p>　　BZ_PE (config)#int s0/